Présentation du RGPD

Le Règlement général sur la Protection des Données  (RGPD) est entré en vigueur le 28 mai 2018 dans tous les Etats membres de l’Union européenne.

Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.

Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet, également, de développer leurs activités numériques au sein de l’Union européenne en se fondant sur la confiance des utilisateurs.

Cette nouvelle réglementation a plusieurs objectifs :

  • Renforcer les droits des personnes
  • Réaffirmer le droit à l’information édicté par la loi informatique et libertés du 6 janvier 1978
  • Responsabiliser les acteurs collectant et traitant des données personnelles
  • Créer de nouveaux droits tels que l’effacement, le droit à l’oubli, le droit à la portabilité des données.
Qu'est-ce qu'une donnée personnelle ?
Une donnée personnelle est une information relative à une personne physique identifiée ou identifiable.

Les moyens d’identification peuvent être directs (nom, prénom) ou indirects (numéro de client, numéro de téléphone, données biométriques, des éléments sur son identité physique, physiologique, génétique, psychique, économique ou culturelle ou sociale).

L’identification de la personne peut se faire par le biais :

  • D’une seule donnée (numéro de sécurité sociale)
  • D’un croisement de données.
Qu'est-ce qu'un traitement de données personnelles ?
Un traitement de données personnelles est une opération ou un ensemble d’opérations portant sur des données personnelles, quel que soit le procédé utilisé : collecte, enregistrement, organisation, conservation.

Exemple : tenue d’un fichier de ses clients, collecte de coordonnées de prospects via un questionnaire, mise à jour d’un fichier de fournisseurs, etc.

Par contre, un fichier ne contenant que des coordonnées d’entreprises (par exemple, entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un email de contact générique « compagnieA@email.fr ») n’est pas un traitement de données personnelles.

Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papiers sont également concernés et doivent être protégés dans les mêmes conditions.

Qui est concerné par le RGPD ?
Le RGPD s’applique à tout organisme public ou privé, quels que soient sa taille, son pays d’implantation et son activité et qui :

– est établi sur le territoire de l’Union européenne,
– ou exerce une activité ciblant directement des  résidents européens.

Par exemple, une société établie en France, qui exporte l’ensemble de ses produits au Maroc pour ses clients moyen-orientaux doit respecter le RGPD.

De même, une société établie en Chine, proposant un site de e-commerce en français livrant des produits en France doit respecter le RGPD.

Le RGPD  concerne aussi les sous-traitants  qui traitent des données personnelles pour le compte d’autres organismes.

Ainsi, si un organisme traite ou collecte des données pour le compte d’une autre entité (entreprise, collectivité, association), il est redevable d’obligations spécifiques pour garantir la protection des données qui lui sont confiées.

Qu'est-ce qu'un responsable de traitement ?
Le responsable d’un traitement de données à caractère personnel est en principe la personne, l’autorité publique, la société ou l’organisme qui  détermine les finalités et les moyens  de ce fichier et qui décide de sa création.

En pratique, il s’agit généralement de la personne morale  (entreprise, collectivité, etc.) incarnée par son représentant légal  (président, maire, etc.).

Il ressort d’une RGPD, que le responsable du traitement doit :

  • Informer les personnes concernées du traitement de leurs données
  • Assurer la sécurité et la confidentialité des données collectées
  • Minimiser le traitement des données
  • Indiquer la finalité du traitement des données
  • Limiter au strict nécessaire les destinataires de ces données
  • Fixer une durée de conservation des données.
Qu’est-ce qu’un Délégué à la protection des données (DPO) ?
Le DPO  est le “chef d’orchestre” en matière de conformité au RGPD, ainsi il doit assurer les missions suivantes :

  • Informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés
  • Contrôler le respect du règlement et du droit national en matière de protection des données
  • Conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution
  • Coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci (voir question ci-après).

Le DPO doit posséder des compétences aussi bien juridiques que techniques. Il doit également avoir une bonne connaissance du secteur d’activité, de l’organisation interne, en particulier des opérations de traitements, des systèmes d’information, des besoins en matière de protection et de sécurité des données.

Il doit également disposer des moyens suffisants pour exercer sa mission et  notamment :

  • disposer du temps suffisant pour exercer ses missions
  • bénéficier de moyens matériels et humains adéquats
  • pouvoir accéder aux informations utiles
  • être associé en amont des projets impliquant des données personnelles
  • être facilement joignable par les personnes concernées.

Il doit également pouvoir agir en toute indépendance, c’est-à-dire :

  • ne pas être en situation de conflit d’intérêt en cas de cumul de sa fonction de DPO avec une autre fonction
  • pouvoir rendre compte de son action au plus haut niveau de la direction de l’organisme
  • ne pas être sanctionné pour l’exercice de ses missions de DPO
  • ne pas recevoir d’instruction dans le cadre de l’exercice de ses missions de DPO.

Sa désignation est obligatoire dans certains cas définis par l’article 37.7 du RGPD : 

  • Traitements réalisés par une autorité ou un organisme public
  • Organismes ayant pour activité de base des opérations de traitement nécessitant le suivi régulier et systématique des personnes à grande échelle
  • Organismes ayant pour activité de base le traitement à grande échelle de données dites « sensibles » ou relatives aux condamnations pénales et infractions.

Le DPO peut être aussi bien interne qu’externe à l’entreprise.